Muito obrigado lista.. sinceramente é um prazer participar desta comunidade..incentiva cada vez mais o uso do FreeBSD.. Realmente essa semana foi fogo ainda bem que tem um feriado ai.. esse assunto e o squid .. foi pano para render muitas opiniões, todas de alto nivel.
Vou montar um servidor para ele em FreeBSD, (se o meu amigo ainda estiver vivo) o que ele tem é em slackware, e colocar em pratica tudo que vcs me passaram. primeiramente vou usar o PF, não sei pq tenho mais afinidade com ele.. vivo entre a cruz e espada com IPFW. até hoje nao me decidi definitivamente com qual. Depois eu vou postar os resultados na lista. Valeu. Em 06/09/07, [EMAIL PROTECTED]<[EMAIL PROTECTED]> escreveu: > Só para ilustrar, segue abaixo um artigo interessante sobre DOS, que vi no > VOL (sim, estou certo que alguns não irão gostar, mas o conteúdo é bom :) > Link: http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=7070&pagina=1 > > Att, > Breno Fernandes > > > > > > Esse tread cresceu bastante , como disse o colega de lista o semaninha > > danada ... > > > > Bem vou espor umas idéias , vou tentar ser um Mythbuster ..... mesmo que > > eu não tenha tanto talento qto. > > > > http://www.discoverybrasil.com/cacadores_funsite/ > > > > a pergunta é : > > > > Ataque de DDoS tem como evitar ? > > > > Resposta: Não, porque enquanto existir jovens espinhentos que não > > praticam sexo sempre tera um desses querendo mostrar o poder de querer > > ser um "HACKER" fazendo papel de "LAMER". > > > > Mas se isso é um fato , o quanto eu estou vuneravel a este tipo de > > ataque ? > > > > Bem a definição disso passa por muitas coisas , com o aumento das bandas > > de conexão é digamos até esperado que esse tipo de ataque seja mais > > frequente e tenha maior probabilidade de atingir algum tipo de objetivo, > > isso é se isso tem algum objetivo além de gerar discussões, > > controvérsias e aborrecimento para algumas pessoas. > > > > Em contrapartida isso não tem nada de novidade é historicamente poucos > > desses ataques tiveram realmente destaques mundiais , um lá pelos idos > > de 1996 que tirou boa parte do que era uma redezinha internacional > > funcionando que era usada denominada internet e o caso mais famoso na > > minha opinião que vou o ataque em massa ao Yahoo onde o destaque foram > > os servidores FreeBSD que sobreviveram muito bem. Desde então muita > > coisa mudou , os sistemas operacionais evoluiram e temos o cenario > > atual, alguma referencia pode ser encontrada : > > > > http://en.wikipedia.org/wiki/Denial-of-service_attack > > > > A resposta é que se voce tem um bom sistema bem configurado , não estou > > me referindo a um OS específico , quase certo que voce de certa maneira > > esta imune a este tipo de ataque, todos os sistemas adotaram ações > > pró-ativas contra esses ataques, excessões podem existir lógico. > > > > > > Bem essa lista trata de FreeBSD e seus "Primos" , então focando nisso > > podemos considerar : > > > > Todos os BSD's tem proteção pró-ativa contra DDOS !!!! > > > > Experimente vc mesmo ai na sua rede "flodar" um BSD , olhe o prompt e > > vera mensagens do sistema descartando pacotes , isso não requer qualquer > > tipo de ação ou setup, é um recurso de segurança dos sistemas BSD's. > > > > Dai então a pergunta : > > > > Então vc pode simplemente ignorar um ataque DDOS ? > > > > Resposta : Não , não deve , vc deve ter o maximo de preocupação com > > isso , mesmo porque saiba-se lá o que pode estar por detraz de um ataque > > desses, vc deve ao menos tomar providencias com a intenção de ao menos > > desistimular os esfeitos colaterais desses ataques. > > > > Como isso pode ser feito ? > > > > Bem qualquer filtro de pacote tem, ou deveria ter , mecanismos que > > bloqueam pacotes cujo objetivo são simplesmente causar problemas. > > > > Onde vc encontra informações sobre como configurar meu firewall para > > isso ? > > > > > > Resposta : No manual horas, Handbook > > > > Uma das referencias especifica para IPFW > > > > http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls-ipfw.html > > > > Onde na página do Handbook estão essas informações ? > > > > Bem veja as descrições e recomendações para uma configuração eficiente > > do firewall. > > > > Logo no primeiro exemplo : > > > > Start your rules file like this: > > > > ############### start of example ipfw rules script ############# > > # > > ipfw -q -f flush # Delete all rules > > # Set defaults > > oif="tun0" # out interface > > odns="192.0.2.11" # ISP's DNS server IP address > > cmd="ipfw -q add " # build rule prefix > > ks="keep-state" # just too lazy to key this each time > > $cmd 00500 check-state > > $cmd 00502 deny all from any to any frag > > $cmd 00501 deny tcp from any to any established > > $cmd 00600 allow tcp from any to any 80 out via $oif setup $ks > > $cmd 00610 allow tcp from any to $odns 53 out via $oif setup $ks > > $cmd 00611 allow udp from any to $odns 53 out via $oif $ks > > ################### End of example ipfw rules script ############ > > > > Note as regras : > > > > $cmd 00500 check-state > > $cmd 00502 deny all from any to any frag > > $cmd 00501 deny tcp from any to any established > > > > A primeira busca por regras dinamicas , esse é uma boa ação , usar > > regras dinamicas ao invéz de estáticas , pois assim diminue em muito o > > processamento necessário para definir o que fazer com um determinado > > pacotes. A segunda descarta os pacotes fragmentados e a terceira e mais > > importante "DESCARTA pacotes marcados como established , pois eles não > > deveriam estar ai correto ? Afinal o que faz o check-state antes , > > aceita os pacotes criados por regras dinamicas do seu firewall , então > > se o pacote não se encaixou no check-state ele tem mais é que ser > > descartado mesmo. > > > > Mais sera tão simples assim ? Somente isso é suficiente ? > > > > Sim e não, simples mas apenas o suficiente para voce não ter efeitos > > colaterais ao seus servidores , voce pode melhorar ainda se entender o > > que vem ser um ataque DDOS. Regras como essas são um passo importante > > > > IPFW : > > > > # Bloqueia pacotes com opções de Source Routing e Record Route do Cabecalho > > IP > > ativadas. > > add 00001 deny tcp from any to any ipoptions ssrr,lsrr,rr > > > > # Bloqueio de pacotes com combinações estranhas de flags do protocolo TCP > > add 00003 deny tcp from any to any tcpflags syn,fin > > add 00004 deny tcp from any to any tcpflags syn,rst > > > > PF : > > > > ## NORMALIZATION - Scrubbing will automatically drop TCP packets that > > # have invalid flag combinations, so there's no need for typical > > 'anti-portscan' > > scrub in on $ext_if > > scrub out on $ext_if no-df random-id min-ttl 24 max-mss 1492 > > > > > > Ou seja , um ataque DDOS é simplemente o envio de um monte de pacote com > > o objetivo de "atolar" sua rede , para conseguirem fazer isso precisam > > rodar scripts que enviam randomicamente pacotes com todos os tipos de > > combinações possiveis , alguns ataques podem ser direcionados a portas, > > de serviços especificas ou mesmo protocolos como ICMP, então uma boa > > prática poderia ser tambem uma boa filtragem de ICMP. > > > > > > do man ipfw : > > > > > > icmptypes types > > Matches ICMP packets whose ICMP type is in the list types. > > The > > list may be specified as any combination of individual > > types > > (numeric) separated by commas. Ranges are not allowed. The > > sup- > > ported ICMP types are: > > > > echo reply (0), destination unreachable (3), source quench > > (4), > > redirect (5), echo request (8), router advertisement (9), > > router > > solicitation (10), time-to-live exceeded (11), IP header > > bad > > (12), timestamp request (13), timestamp reply (14), > > information > > request (15), information reply (16), address mask request > > (17) > > and address mask reply (18). > > > > Descartar icmp tipo 3 e 5 vindo da interface externa e não deixando sair > > icmp tipo 0 e 8 da sua rede interna para o mundo são uma boa prática > > > > add 00018 deny icmp from any to any via $ext_if in icmptypes 3,5 > > add 00018 deny icmp from any to any via $ext_if out icmptypes 0,8 > > > > Ah , uma referenciazinha , sera que tem BSD lá a algum tempo? > > > > http://www.rnp.br/newsgen/9901/ipfw-bsd.html > > > > Mas a pergunta persiste , assim eu fico imune ao ataque DDOS ? > > > > Resposta : Sua rede fica imune , vc não precisa usar nenhuma solução > > comercial , ipfw e pf ajudam mas seu BSD já ta pronto para aguentar o > > tranco mas o seu link com a internet cheio de pacotes "voando" de uma ou > > de varias origens isso esta fora do seu alcance , portando depende do > > seu fornecedor de link/operadora, procure obter o máximo de informação > > após um ataque , tente contatos, reporte o ataque ao CERT , pois a > > melhor maneira de realmente diminuir ataques é fazendo com que as > > consequencias para quem faz isso seja bastante ruim, crie logs , mas > > cuidado para não tomar muito remédio e fica envenenado, veja no > > handbook: > > > > > > 28.6.5.3 Logging Firewall Messages > > > > .................... > > > > Logging is a two edged sword, if you are not careful, you can lose > > yourself in the over abundance of log data and fill your disk up with > > growing log files. DoS attacks that fill up disk drives is one of the > > oldest attacks around. These log message are not only written to > > syslogd, but also are displayed on the root console screen and soon > > become very annoying. > > > > > > O que mais pode ser feito ? > > > > Se vc implementar sugestões como as acima o "pentelho" vai sentir > > dificuldade em "scanear" sua rede , isso já sera um dado positivo pois > > vai desestimular o ataque , soluções com portsentry e snort ajudam ainda > > mais a desestimular esses "meninos". > > > > Bem o afinal de contas qual o mito ? > > > > Bem isso digo agora num precisa de solução mirabolante ou comercial ou > > produzida pelos "super hiper entendidos " que vendem seus produtos , > > voce mesmo pode fazer isso no seu BSD se tiver um pouco de dedicação e > > bastante pesquisa em sites e manuais, e digo mais vai funcionar melhor > > ainda já que vc não tem que atender a "Gregos e Troianos". > > > > So para lembrar que : > > > > http://www.fug.com.br/content/view/353/2/ > > > > > > Bem espero ter ajudado , mais informações , mais detalhes sobre PF podem > > enrriquecer essa thead > > > > abraço e boa sorte a todos > > > > ------------------------- > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
